Sin escrúpulos, sin responsabilidades, con unas lagunas legales salvajes que impiden la actuación eficaz de las ciberpolicías, los mercenarios del chip -los profesionales- se sienten impunes. Mientras los de Anonymous van cayendo uno a uno o de cincuenta en cincuenta (esa necesidad que sienten de firmar sus hazañas/fechorías es parte de su condena), los soldados de fortuna se guardan muchísimo de dejar rastro. Un ejemplo perfecto: solo hubo un detenido en la operación masiva de ataque a Estonia, un pobre chaval estonio de ascendencia rusa que pagó el pato de una operación en la que Moscú, como Julio César, gritó “¡devastación!” y soltó a los ciberperros de la guerra.
Mercenarios informáticos: fáciles de encontrar, baratos y difíciles de atrapar.
Primero fueron los piratas informáticos. Luego, los Gobiernos se dieron cuenta de la importancia de la guerra electrónica y crearon unidades militarizadas. Y si hay un Ejército regular, también hay uno irregular. Hoy, por el ciberespacio pululan ciberpiratas, cibersoldados, ciberterroristas y cibermercenarios. Si encuentra a estos últimos, quizá pueda contratarlos. No son caros. Por menos de 150 euros se puede conocer la contraseña de la cuenta de correo de alguien. Por 500, desactivan la página web de la competencia y por menos de un millón de dólares pueden hacer caer a un país.
Hace veinte años, que es como varios milenios en asuntos tecnológicos, la percepción general era la de que los virus los creaba un postadolescente obeso con camisetas de Star Trek sentado en su cuarto delante de una pantalla comiendo donuts y digiriendo varios traumas infantiles. Después, muy poco después, la idea general cambió y los expertos en seguridad informática aseguraron que Bulgaria e Israel habían organizado equipos de programadores que creaban virus para la causa #-la soviética o la sionista- u organizaban ataques hacker de infiltración en los ordenadores de Defensa de otros Gobiernos extranjeros con el objetivo de anular sus sistemas de misiles.
En realidad, los expertos en seguridad informática habían visto demasiadas películas y leído alguna que otra novela barata. Aquellos hackers no buscaban desactivar el sistema de guiado de los misiles balísticos, sino que se conformaban con entrar en la cuenta del sysOp (el operador del sistema), robar las claves y dejar huella de su presencia en el sistema. El objetivo final era acabar como jefe de seguridad de una empresa tecnológica sin pasar por la universidad. A su lado estaban los crackers, los que reventaban los sistemas de protección de los programas (juegos, en su mayoría) programando parches que luego colgaban, gratis et amore, en las redes de underworld. Además, estaban los llamados ‘ingenieros sociales’, expertos en camelarse a la secretaria del director general de una compañía para que les dijera la clave sin tener que sentarse delante de un ordenador.
Estos tres tipos de seudopirata, junto con los creadores de virus y otras ingeniosas herramientas caducas (como el ping de la muerte, una sencilla señal mayor de 64 bytes que los ordenadores no eran capaces de procesar y que los bloqueaba), que por lo general eran estudiantes de informática que se dejaban vencer por la tentación del reverso tenebroso, eran francotiradores solitarios con una capacidad muy limitada de dañar a una compañía seria o de robar secretos de Estado.
Sin embargo, pasaron los años. En concreto: quince. El 27 de abril de 2007, los bancos, los medios de comunicación y las compañías de servicios #-agua, luz, gas- de Estonia fueron ciberasaltadas en un ataque coordinado que provocó el caos en la nación. Por decirlo en lenguaje informático: Estonia se cayó. Aquella fue la respuesta rusa a la decisión del Gobierno estonio de trasladar el Monumento a los Libertadores de Tallin (la tumba al soldado desconocido soviético), también conocido como el Soldado de Bronce, a un cementerio militar. En buena parte de Rusia aquello sentó como un insulto a los caídos en la lucha contra el nazismo. Para los estonios, el insulto era albergar un monumento a los soviéticos que invadieron su país y lo sojuzgaron hasta la independencia en 1991. Tuviera la razón quien la tuviera, aquel ciberataque, además de sumir a Tallin en un caos de disturbios, alertó al mundo sobre las posibilidades reales de los cibermercenarios pagados por un Estado.
Bloquear el botón rojo
Algo de todo eso se había visto apenas un año antes, a mediados de 2006, en la llamada operación Rata en la Sombra, cuando los sistemas de ciertas multinacionales, contratistas de defensa y hasta el Comité Olímpico Internacional fueron atacados de manera sistemática por China (o al menos los expertos aseguran que todos los indicios apuntan a China). Aquello interesó a los países occidentales y en especial a ciertas estructuras militares como la OTAN. La forma de actuar de estos ciberataques no estaba basada en la penetración en los sistemas -casi invulnerables-, sino en su bloqueo.
Lo que se hacía -y se hace- es usar una red de ordenadores infectados con algún programa destinado a convertirlo en un computador zombi que a una señal convenida se activan y mueven -a la vez- todos sus recursos hacia un punto concreto de esa red (por ejemplo, el portal de la Agencia Tributaria) que está preparado para soportar un número mucho menor de peticiones simultáneas. Ese ataque simultáneo de decenas de miles, o incluso de cientos de miles de ordenadores zombis en todo el mundo que no saben que lo son (es posible que el suyo lo sea) es lo que se conoce como un ataque de denegación de servicio. Los servidores se saturan. Se consumen los recursos, por muy grandes que estos sean. Las señales se interrumpen. El sistema se cae. Este es el procedimiento que luego se utilizaría para ‘apagar’ Estonia. Por decirlo de otra manera: ya no hacía falta desactivar los misiles, sino conseguir que no funcionara el botón de lanzamiento.
De inmediato, naciones pequeñas del llamado Eje del Mal como Irán (dicen que Corea del Norte también, pero cualquier información sobre ese país prehistórico debe ser puesta en cuarentena por lo que pueda tener de propaganda) organizaron unidades militarizadas de expertos en computación que desarrollan programas de ciberguerra. El Pentágono, en un informe del año pasado -en plena Administración Obama-, aseguraba que Irán contaba con más de 20.000 informáticos entrenados y lo comparaba con las carencias estadounidenses (apenas un millar de militares con conocimientos de ciberguerra).
En cualquier caso, si hay unidades militares de ciberejércitos regulares, hay cibergrupos terroristas, y si hay cibergrupos terroristas, hay cibermercenarios: cibersoldados de fortuna que a cambio de un salario venden sus habilidades.
En cuanto a los cibergrupos terroristas, solo nos detendremos a reseñar las palabras de la actual secretaria de Seguridad Nacional de los Estados Unidos, la poderosa Janet Napolitano, que hace unos meses aseguró que “desde el 11 de septiembre de 2001, los Estados Unidos han llegado a ser una nación mucho más segura; sin embargo, ahora nuestra máxima preocupación es el ciberterrorismo”. A lo que se refiere Napolitano es a la actividad de grupos como la Honker Union de China (honker significa ‘el invitado rojo’) o la Red Comercial Rusa, grupos de autocalificados ciberpatriotas que todos los días atacan intereses estadounidenses o japoneses. En el mundo yihadista también hay grupos menores como la Tarik Bin Ziyad, que sueñan con emular los éxitos del Iranian Cyber Army o Ciberejército Iraní.
A lo que no se refiere Napolitano, a pesar de que sean los más conocidos, es a los de Anonymous y el resto de los Assange-boys. Los idealistas suelen ser jóvenes y cometen fallos. Anonymous, en realidad, no es un grave problema mientras sigan atacando Visa o PayPal.
Sin escrúpulos
Los cibermercenarios suponen otro tipo de problema. Ahora mismo, cualquiera que tenga cierta pericia puede navegar por internet hasta encontrar un foro en el que los soldados de fortuna se ofrecen por unas módicas tarifas. Eso incluye a un Gobierno que no haya desarrollado su propio servicio de ciberguerra. Descubrir la contraseña de una cuenta son apenas 150 dólares, piratear un ordenador e instalar un programa para conocer todo lo que en él se teclea se puede conseguir por menos de 50 dólares. Atacar una página web de una empresa de la competencia, a partir de 500 dólares. Alquilar una botnet (la red de ordenadores zombis) para conseguir la interrupción del servicio tiene una tarifa que varía en función de la calidad de ese ataque, del tiempo y del número de bots que se usen, pero alguien podría saturar los sistemas de una multinacional durante un día entero por menos de cien mil dólares o hacer caer un país como Estonia por menos de un millón de dólares.
No hay comentarios:
Publicar un comentario